Für viele Unternehmen bedeutet der Begriff „Threat Intelligence“ lediglich das Identifizieren von Kompromittierungsindikatoren und die Bereitstellung von Informationen zu bestimmten cyberkriminellen Tools. Tatsächlich setzt Threat Intelligence jedoch ein viel tieferes Wissen über Bedrohungsakteure einschließlich der Verfolgung ihrer Aktivitäten im Netzwerk voraus. Manchmal ermöglichen diese Informationen nicht nur, sich ein Bild über kriminelle Methoden und Taktiken zu verschaffen, sondern auch cyberkriminelle Aktivitäten zu verhindern. Ein anschauliches Beispiel ist der jüngste Fall einer lateinamerikanischen Zentralbank.
Der Vorfall
Bei der Analyse cyberkrimineller Aktivitäten entdeckten unsere Experten, dass eine kriminelle Gruppe Zugriff auf das Netzwerk der fraglichen Bank erhalten hatte. Das Opfer wurde selbstverständlich unverzüglich benachrichtigt, die Interpol kontaktiert und gemeinsam eine gründliche Untersuchung des Vorfalls ausgeführt. Auf diese Weise konnten Schwachstellen in der Unternehmensinfrastruktur beseitigt und finanzielle Verluste verhindert werden. Leider dürfen wir keine weiteren Details zu diesem Vorfall teilen und beschreiben deshalb nur, wie die Angreifer es geschafft haben, in das Netzwerk der Bank einzudringen.
So entdeckten unsere Experten die cyberkriminellen Aktivitäten der Eindringlinge
Nicht alle Cyberkriminellen sind für einen vollständigen Angriffszyklus verantwortlich – mit anderen Worten: die verschiedenen Arbeitsschritte, von der anfänglichen Untersuchung des Zielobjekts bis hin zum endgültigen Schritt (der in der Regel eine Daten- oder Gelddiebstahl oder eine Ransomware-Infektion ist), werden meist nicht von ein und denselben Kriminellen ausgeführt. Es gibt Gruppen, die sich ausschließlich darauf spezialisiert haben, Zugang zur Infrastruktur von Unternehmen zu erhalten: Nachdem sie erfolgreich in das Netzwerk eingedrungen sind, versuchen sie, den Zugang über das Dark Web oder Hackerforen an diejenigen zu verkaufen, die einen Angriff in die Tat umsetzen können. Darüber hinaus gibt es sogenannte Initial Access Brokers, die Zugangsdaten kaufen und diese dann an andere Cyberkriminelle weiterverkaufen.
Bei der Untersuchung der Aktivitäten einer vollkommen anderen kriminellen Gruppierung stellten unsere Forscher fest, dass jemand nach Partnern gesucht hatte, um eine Bank in Zentralamerika anzugreifen. Die Angreifer teilten im Zuge ihrer Suche einige Informationen, die den Zugriff auf die Infrastruktur der Bank beweisen sollten und halfen unseren Experten so, das Opfer zu identifizieren und den Angriff zu verhindern.
So hilft Threat Intelligence spezifischen Unternehmen
In diesem Fall haben unsere Experten nicht explizit nach Anzeichen für einen Angriff auf eine bestimmte Bank gesucht. Tatsächlich war die betroffene Bank nicht einmal unser Kunde. Dennoch ermöglichen unsere Tools die Bedrohungsverfolgung für spezifische Organisationen. Unser Threat-Intelligence-Portfolio umfasst einen sogenannten Digital Footprint Intelligence Service, mit dem unsere Experten ein umfassendes Bild einer aktuellen Gefährdungslage erstellen und gefährliche Hinweise über offene Quellen im Dark und Deep web nachverfolgen können. So können oftmals schwerwiegende Cybervorfälle verhindert werden.
Darüber hinaus empfehlen wir zum Schutz vor raffinierten Angriffen den Einsatz von Diensten wie Managed Detection and Response. Ihr Cybersicherheitsteam kann so die Hilfe externer Experten in Anspruch nehmen, um komplexe Angriffe auf die Unternehmensinfrastruktur frühzeitig zu erkennen und zu stoppen.